Двофакторні системи автентифікації не настільки надійні, як здається. Зловмисникові насправді не потрібен ваш фізичний маркер автентифікації, якщо він може змусити вашу телефонну компанію або саму безпечну службу впустити їх.
Додаткова автентифікація завжди корисна. Хоча ніщо не пропонує такої ідеальної безпеки, яку ми всі хочемо, використання двофакторної автентифікації створює більше перешкод для зловмисників, які хочуть ваші речі.
Ваша телефонна компанія - це слабке посилання
ПОВ'ЯЗАНІ: Захистіть себе, використовуючи двоетапну перевірку на цих 16 веб-службах
двоступеневі системи автентифікації на багатьох веб-сайтах працюйте, надсилаючи повідомлення на ваш телефон за допомогою SMS, коли хтось намагається увійти. Навіть якщо ви використовуєте спеціальний додаток на своєму телефоні для генерації кодів, існує велика ймовірність, що вибрана вами служба пропонує людям увійти, надіславши SMS-код до свого телефону. Або послуга може дозволити вам зняти двофакторний захист автентифікації зі свого облікового запису після підтвердження, що ви маєте доступ до номера телефону, який ви налаштували як номер телефону для відновлення.
Все це добре звучить. У вас є мобільний телефон, а у нього - номер телефону. У ньому є фізична SIM-карта, яка зв’язує її з цим номером телефону з постачальником мобільного телефону. Все це здається дуже фізичним. На жаль, ваш номер телефону не такий надійний, як ви думаєте.
Якщо вам коли-небудь потрібно було перенести існуючий номер телефону на нову SIM-карту після втрати телефону або просто отримання нового, ви будете знати, що ви можете часто робити це повністю по телефону - а може навіть в Інтернеті. Все, що зловмиснику потрібно зробити, - це зателефонувати у відділ обслуговування клієнтів вашої компанії мобільного зв’язку та прикинутися вами. Вони повинні знати ваш номер телефону та знати деякі особисті дані про вас. Це такі деталі - наприклад, номер кредитної картки, останні чотири цифри SSN та інші, - які регулярно потрапляють у великі бази даних і використовуються для крадіжки особистих даних. Зловмисник може спробувати перенести ваш номер телефону на свій телефон.
Є ще простіші способи. Або, наприклад, вони можуть налаштувати переадресацію викликів у кінці телефонної компанії, щоб вхідні голосові дзвінки переадресовувались на їх телефон і не надходили до вашого.
Чорт візьми, зловмисникові може не знадобитися доступ до вашого повного номера телефону. Вони можуть отримати доступ до вашої голосової пошти, спробувати увійти на веб-сайти о 3 ранку, а потім захопити коди підтвердження з вашої скриньки голосової пошти. Наскільки точно захищена система голосової пошти вашої телефонної компанії? Наскільки безпечний ваш PIN-код для голосової пошти - ви його навіть встановили? Не у всіх є! І якщо у вас є, скільки зусиль знадобиться зловмисникові, щоб скинути PIN-код голосової пошти, зателефонувавши до телефонної компанії?
З вашим номером телефону все закінчено
ПОВ'ЯЗАНІ: Як уникнути блокування під час використання двофакторної автентифікації
Ваш номер телефону стає слабкою ланкою, що дозволяє зловмисникові видалити двоетапну перевірку зі свого облікового запису - або отримуйте двохетапні коди підтвердження - за допомогою SMS або голосових дзвінків. Коли ви зрозумієте, що щось не так, вони можуть отримати доступ до цих облікових записів.
Це проблема практично для кожної послуги. Інтернет-служби не хочуть, щоб люди втрачали доступ до своїх облікових записів, тому вони, як правило, дозволяють вам обійти та видалити цю двофакторну автентифікацію з вашим номером телефону. Це допомагає, якщо вам довелося скинути налаштування телефону або отримати новий, і ви втратили свої двофакторні коди автентифікації, але ваш номер телефону все ще є.
Теоретично тут має бути багато захисту. Насправді ви маєте справу з людьми, що обслуговують клієнтів у постачальників послуг стільникового зв'язку. Ці системи часто налаштовуються для підвищення ефективності, і працівник служби обслуговування споживачів може пропустити деякі запобіжні заходи, з якими стикається клієнт, який здається злим, нетерплячим і має, здається, достатньо інформації. Ваша телефонна компанія та її відділ обслуговування клієнтів є слабким ланкою у вашій безпеці.
Захистити свій номер телефону важко. Реально, компанії стільникового зв'язку повинні забезпечити більше гарантій, щоб зробити це менш ризикованим. Насправді ви, мабуть, хочете зробити щось самостійно, а не чекати, поки великі корпорації виправлять процедури обслуговування клієнтів. Деякі служби можуть дозволити вам вимкнути відновлення або скинути за телефонними номерами та рясно застерегти від цього - але, якщо це критично важлива система, ви можете вибрати більш безпечні процедури скидання, такі як коди скидання, які ви можете заблокувати в банківському сховищі на випадок вони вам коли-небудь потрібні.
Інші процедури скидання
ПОВ'ЯЗАНІ: Захисні запитання небезпечні: як захистити свої облікові записи
Справа не лише у вашому номері телефону. Багато служб дозволяють видалити цю двофакторну автентифікацію іншими способами, якщо ви стверджуєте, що втратили код і вам потрібно ввійти в систему. Поки ви знаєте достатньо особистих даних про обліковий запис, можливо, ви зможете ввійти.
Спробуйте самі - перейдіть до служби, яку ви забезпечили двофакторною автентифікацією, і зробіть вигляд, що втратили код. Подивіться, що потрібно, щоб увійти. Можливо, вам доведеться надати особисті дані або відповісти небезпечні “питання безпеки” у гіршому випадку. Це залежить від налаштування служби. Можливо, ви зможете скинути його, надіславши посилання на інший обліковий запис електронної пошти, і в цьому випадку цей обліковий запис може стати слабким посиланням. У ідеальній ситуації вам може знадобитися лише доступ до телефонного номера або кодів відновлення - і, як ми вже бачили, частина телефонного номера є слабким посиланням.
Ось ще одне страшне: мова йде не лише про обхід двоетапної перевірки. Зловмисник може спробувати подібні трюки, щоб повністю обійти ваш пароль. Це може спрацювати, оскільки онлайн-служби хочуть забезпечити людям відновлення доступу до своїх облікових записів, навіть якщо вони втратять свої паролі.
Наприклад, погляньте на Відновлення облікового запису Google система. Це останній варіант відновлення вашого облікового запису. Якщо ви заявите, що не знаєте жодного пароля, зрештою вас попросять надати інформацію про ваш обліковий запис, наприклад, коли ви його створювали та кому часто надсилаєте електронну пошту. Зловмисник, який знає про вас достатньо, теоретично може використовувати подібні процедури скидання пароля, щоб отримати доступ до ваших облікових записів.
Ми ніколи не чули про зловживання процесом відновлення облікового запису Google, але Google не єдина компанія, що має подібні інструменти. Всі вони не можуть бути цілком надійними, особливо якщо зловмисник знає про вас достатньо.
Незалежно від проблем, обліковий запис із налаштованою двоступеневою верифікацією завжди буде більш безпечним, ніж той самий обліковий запис без двоетапної перевірки. Але двофакторна автентифікація не є срібною кулею, як ми бачили з треки, які зловживають найбільшим слабким ланкою : ваша телефонна компанія.
